資安管理與服務辦理事項

資安政策
一、 已提供連線單位以下願景:
   強化人員認知、避免資料外洩
   落實日常維運、確保服務可用
二、 將於明(109)年依據資訊安全政策願景,擬定資訊安全目標如下:
   辦理資訊安全教育訓練,推廣員工資訊安全之意識與強化其對相關責任之認知。
  保護核心業務活動資訊,避免未經授權的存取、修改,確保其正確及完整。
  定期進行內部與外部稽核,確保相關作業皆能落實。
三、確保關鍵核心系統維持一定水準的系統可用性。,進一步加強與整合資安管理技術、人員與流程),以導入有效之縱深防禦與安全偵測技術,透過教育訓練使區網中心及人員之運作能符合相關法規之要求,建立持續改善之風險管理制度,並將資安管理經驗與各連線單位分享。
四、本年度已通過教育機構資安驗證ISO27001:2013ISMS追查稽核,將於明(109)年與各連線單位分享。

 

資安服務
辦理事項
A.提供具安全性之網路服務
(1)相容ISO27001:2013教育機構資安驗證規範,導入單位ISMS制度,以維持網路服務之安全性。
(2)本中心3人取得ISO 27001:2013主導稽核員認證、1人取得CEH資安道德駭客國際認證。
B.加強與整合資安管理技術、人員與流程
B-1.技術:導入有效之縱深防禦與安全偵測技術
(1)以教育機構資安通報平台通進行資安事件之偵測、通報、應變處理與審核。
(2)依資安機構發布之資安訊息所派送之ANA預警事件單(如:病毒或漏洞預警),通知相關人員進行相應之應變與預防;其中HITCON ZeroDay漏洞通報平臺已加入漏洞獎勵(Bug Bounty)計畫,透由外部組織協助通報,提供本中心系統安全弱點通報機制與獎勵,本年度分於5/9日及11/1日發生漏洞事件,已於平台內處理並提供風雲榜名單獎勵回報者。
(3)透過教育部建置入侵偵測防禦系統(IDS)SPAM Mail偵測,早期發現資安事件可能。
(4)依教育部與所屬機關(構)及學校資通安全責任等級分級作業規定辦理以下事項:
—由成功大學建置之弱點掃描平台內數據,年度本中心暨所屬連線單位計完成26次教育單位弱點檢測平台弱點掃描。
—7/24日由國立中興大學教育機構資安驗證中心,由4位稽核員對本中心進行「教育體系新版資安之第二次追查驗證」,已順利通過審查延續證照有效性。
—協助連線單位完成資安事件應變演練及相關資安事件處理。
—制定「資通安全維護計畫」、「資通安全事件通報及應變程序」及「臺東區網中心分散式阻斷攻擊(DDoS)服務應變作業程序」等相關文件核備。
B-2.人員:透過教育訓練提升區網中心及人員運作之法令合規性
(1)派員參加6/3108年資訊安全職能訓練課程並由劉世泓技師取得證照。
(2)針對外部單位辦理之研習訓練皆有指派人員參加,如政府資通安全防護巡迴研討會、臺灣網際網路研討會、技服中心/TACERT/教育機構資安驗證中心之課程等。
(3)於臺東區網中心LINE群組提供重要資安事件回顧新聞標題及連結。
(4)提供臺灣電腦網路危機處理暨協調中心「TWCERT/CC資安情資」知識庫,以每月、每季及每年等週期,轉寄相關知識庫資訊供連線單位閱讀與參考。
B-3.流程:建立持續改善之風險管理制度
(1)依教育機構資安通報應變標準作業流程,處理資安事件單通報應變與審核以及資安預警(EWA)事件單,本年度通報與事件處理平均時數皆為0.99小時,事件完成率為100%,通報審核平均時數為0.512小時,皆在規範1小時內完成。
(2)以電話通知資訊安全事件,並透過E-mail聯繫及利用LINE群組通知,加強化資安通報作業時效。
(3)收到ANA事件單(如:病毒或漏洞預警)後,立即轉寄給連線單位並公告於區網首頁。
(4)資通安全通報應變平臺之所屬學校及單位的聯絡相關資訊完整度: 92.857%
(5)依「108年教育部學術與部屬機關()分組資通安全通報演練計畫」完成資安通報演練作業。
(6)區網中心符合防護縱深及稽核要求,總計有2人員有資安專業證照,且維護之關鍵核心網站之安全弱點檢測比率為100 %
(7)依教育機構資安驗證中心新版規範及個資輔導計畫,因108年度輔導名額用罄,預計明(109)上半年再提出申請事宜。
C.與各連線單位分享資安管理經驗
(1)以區網今年發生之資安案例,於9/25日由本中心郭俊賢技師前往臺東縣教育研習中心擔任108 學年度國中小教師資訊安全與科技融入教學研習講師分享網路管理、資訊安全及社交工程等議題進行講授,擴大服務範圍至全縣中小學提供相關服務。
(2)協助釐清資安預警事件及應變處理教育機構資安通報平台,並寄送資安事件單之通報與應變處理單,依教育部提供之事件編號呈現,本年度完成處理計248件。